Los ataques de ransomware de Vice Society llevaron a una actualización del código del spooler de impresión de Windows. El puerto que el grupo utilizaba para sus ataques se conocía como “PrintNightmare”, la actualización de Windows tenía como objetivo cerrar este puerto.
Este fallo se encontraba en el sistema de impresión, tras fallar el Spooler los hackers podían acceder al sistema operativo lo que les otorgaba los mismos privilegios que un usuario normal, dándoles acceso total al sistema.
El ransomware Vice Society tiene como objetivo los fallos en el sistema operativo Windows, y se detiene en atacar sólo a las pequeñas y medianas empresas.
Este grupo, similar al de Hive Leaks, ejecuta el ataque en dos fases, la primera eliminando archivos sensibles para la empresa para una futura filtración y luego cifrando los datos. El grupo dispone de una página web donde divulgan los archivos robados, estas filtraciones afectan directamente a la empresa según la ley de seguridad de datos.
La programación de la Vice Sociedad hace que se busquen las copias de seguridad vinculadas al sistema, esto se hace para que no haya posibilidad de restaurar los archivos sin el pago del rescate. Esto demuestra la importancia de tener rutinas de copias de seguridad constantes, pero con copias offline, porque aunque el ransomware llegue a todos los datos de la empresa, habrá una salvaguarda. El mejor formato de copia de seguridad es el que llamamos 3x2x1 (3 copias, 2 online, 1 offline).
Este grupo es nuevo pero ya ha conseguido desarrollar un ransomware muy sofisticado y rápido en el tiempo de cifrado.
Recuperar los datos encriptados por el ransomware Vice Society
La recuperación de datos cifrados se ha convertido en nuestra especialidad, ahora somos capaces de recuperar ransomware de prácticamente cualquier longitud. Esto se debe a que hemos desarrollado una tecnología que llamamos Tracer, que nos permite recuperar datos en cualquier dispositivo de almacenamiento.
En los casos de cifrado, podemos recuperar los datos afectados tras un análisis en profundidad del disco duro y la reconstrucción de los datos, sin necesidad de la clave de descifrado.
Ya hemos atendido casos en los que todas las copias de seguridad de la empresa fueron encriptadas o alteradas con el ataque, incluso con este escenario pudimos recuperar los archivos y así restablecer el funcionamiento de la empresa.
Todos nuestros procesos se ajustan a la General Data Protection Regulation (GDPR).
Durante todo el proceso el cliente estará en contacto directo con nuestros expertos quienes a través de constantes feedbacks le hacen saber al cliente de todos los procesos adoptados para recuperar los datos, y después de la recuperación el cliente puede validar que todos los archivos fueron recuperados y están todos disponibles.
Si no es posible enviar el dispositivo a nuestro laboratorio, podemos recuperarlo a distancia. Valide esta posibilidad con nuestros especialistas.
Todos nuestros servicios son confidenciales, para asegurar esto, hemos firmado un acuerdo de no divulgación (NDA).
Nuestros procesos son personalizados para poder satisfacer las necesidades reales de cada cliente.
